Esquema de eventos de Google Security Operations
En BigQuery, la tabla llamada events almacena los registros de eventos de UDM.
El campo hour_time_bucket
identifica la partición como la hora del día en la
Campo de UDM metadata.event_timestamp
. Los valores del campo hour_time_bucket son marcas de tiempo por hora que tienen el formato <AAAA-MM-DD HH:MM:SS UTC>. Estos son algunos ejemplos:
- 20-05-2022 00:00:00 UTC
- 20-05-2022 01:00:00 UTC
- 20-05-2022 02:00:00 UTC
- 20-05-2022 03:00:00 UTC
Por ejemplo, el valor 2022-05-20 00:00:00 UTC etiqueta los datos con un event_timestamp entre el 20-05-2022 00:00:00 UTC y el 20-05-2022 00:59:59 UTC. Para obtener más información, consulta Consulta tablas particionadas.
La cantidad de tiempo que tardan los datos en aparecer en la tabla events
depende
según la diferencia entre el momento en que el dispositivo registra el evento, la metadata.event_timestamp
,
y, cuando ese evento se transfiere a la SIEM de Google Security Operations, metadata.ingested_timestamp
.
A continuación, se resume el tiempo que tardan los datos en aparecer en la tabla events
después de que Google Security Operations los recibe:
- Si la diferencia es inferior a dos horas, los datos aparecen aproximadamente 2 horas después de la ingestión.
- Si la diferencia es entre 2 y 24 horas, puede demorar hasta 4 horas para que los datos aparezcan después de transferirlos.
- Si la diferencia es superior a 24 horas, es posible que los datos demoren hasta 5 días en aparecen después de la ingestión.
El esquema de la tabla events
cambia con regularidad. Para ver información sobre la tabla,
incluido el esquema actual, consulta las instrucciones de BigQuery para obtener información de tablas.
Para acceder al esquema events
, haz lo siguiente:
- Abre la consola de Google Cloud y, luego, selecciona el ID del proyecto de Google Security Operations que compartió contigo tu representante de Google Security Operations.
Selecciona BigQuery > BigQuery Studio > datalake > eventos.
Figura: Tabla
events
en BigQuery
Modelo de datos de Events
para paneles
En los paneles incorporados de Google Security Operations, verás la estructura de datos llamada Eventos de UDM.
Este es un modelo de datos de Looker creado para la tabla events
en BigQuery.
La tabla incluye los campos de UDM más utilizados. No incluye todo el UDM . Si faltan campos UDM, debes incorporarlos a un panel personalizado, comunícate con tu representante de Google Security Operations.
Para ver los campos de esta exploración, sigue estos pasos:
- En la barra de navegación, haz clic en Paneles.
- Crea un panel nuevo (haz clic en Agregar > Crear nuevo) o edita uno existente.
- Agrega una tarjeta.
- Si se te solicita, selecciona Visualization como el tipo.
- En la lista de tablas, selecciona UDM Events.
Explora la lista de campos.
Figura: Lista de campos en el modelo de datos de eventos de seguridad de Google
¿Qué sigue?
- Consulta una descripción de cada campo de UDM en la lista de campos del modelo de datos unificado.
- Para obtener información sobre cómo acceder a consultas en BigQuery y ejecutarlas, lee Ejecuta trabajos de consulta interactivos y por lotes.
- Si deseas obtener información sobre cómo consultar tablas particionadas, lee Consulta tablas particionadas.
- Si quieres obtener información para conectar Looker a BigQuery, consulta la documentación de Looker sobre cómo conectarse a BigQuery.
- Información para consultar tablas particionadas.